Configurer Tableau Server avec Independent Gateway

Cette rubrique décrit comment configurer Tableau Server avec Independent Gateway pour différents scénarios de connexion et pour un module d’authentification personnalisé.

Pour la procédure d’installation, consultez Installer Tableau Server avec Independent Gateway.

Pour un exemple de déploiement de bout en bout exécuté sur Tableau Server pour Linux dans AWS, consultez Configuration du niveau Web(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise.

Connexion directe ou par relais

Independent Gateway peut communiquer directement avec les processus principaux de Tableau Server sur plusieurs ports. Nous appelons cette communication une connexion directe.

Sinon, vous pouvez configurer Independent Gateway pour relayer la communication client sur un seul port vers le processus de passerelle sur Tableau Server. Nous appelons cette communication une connexion par relais.

La clé de configuration TSM qui définit le type de connexion est gateway.tsig.proxy_tls_optional.

Les sections suivantes décrivent en quoi ces connexions diffèrent et comment les configurer.

Connexion en direct

Dans cette configuration, Independent Gateway communique directement avec les processus principaux sur Tableau Server sur plusieurs ports. Cela nécessite que vous ouvriez les ports entre le pare-feu qui sépare Independent Gateway du déploiement principal de Tableau Server.

L’implémentation actuelle d’Independent Gateway ne prend pas en charge les connexions TLS sur ces processus.

Une connexion directe permet à Independent Gateway de communiquer avec les processus principaux de Tableau Server sans proxy via le processus de la passerelle. La connexion directe offre de meilleures performances que la connexion relais alternative.

Configuration

La connexion directe est la configuration par défaut. En tant que tel, vous n’avez pas besoin d’exécuter une commande pour le définir. Toutefois, si vous devez réinitialiser la connexion directe par défaut, exécutez les commandes suivantes :

tsm configuration set -k gateway.tsig.proxy_tls_optional -v all --force-keys   
tsm pending-changes apply

Gérer l’entrée des ports

Une fois installée, Independent Gateway doit pouvoir communiquer avec Tableau Server sur plusieurs ports. Ces ports sont attribués dynamiquement lors de la configuration et se situent dans la plage TCP 8000-9000. Les ports spécifiques et les processus correspondants utilisés pour communiquer avec Tableau Server sont écrits dans un fichier CSV sur l’ordinateur exécutant Independent Gateway sur TSIG_DATA/config/httpd/proxy_targets.csv.

Dans une installation par défaut : /var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv.

Utilisez proxy_targets.csv pour définir ou automatiser la configuration de l’entrée des ports via votre réseau vers Tableau Server. Nous vous recommandons d’automatiser la configuration d’entrée des ports car les ports peuvent changer si la topologie du déploiement de Tableau Server change. L’ajout de nœuds ou la reconfiguration des processus sur le déploiement de Tableau Server déclenchera des modifications dans l’accès au port requis par Independent Gateway.

Connexion par relais

Dans une configuration de connexion par relais, Independent Gateway ne se connecte pas directement aux processus principaux. Au lieu de cela, Independent Gateway relaie la communication vers le processus de passerelle sur le déploiement principal de Tableau Server sur HTTP. Ce processus de relais entraîne un saut supplémentaire et dégrade donc les performances par rapport à la configuration de connexion directe.

L’un des avantages de la configuration de la passerelle indépendante en tant que connexion par relais est de sécuriser le trafic avec TLS. Consultez Configurer TLS sur la passerelle indépendante.

Configuration

Pour configurer Independent Gateway pour la connexion par relais à Tableau Server, exécutez les commandes suivantes :

tsm configuration set -k gateway.tsig.proxy_tls_optional -v none --force-keys
tsm pending-changes apply

Protocole de maintenance

Les connexions directes et par relais nécessitent une communication avec le protocole de maintenance (HK) de Tableau Server. Le processus HK maintient l’état de la configuration entre le déploiement principal de Tableau Server et Independent Gateway. Lors de l’installation, Tableau Server doit pouvoir communiquer avec Independent Gateway sur le port 21319.

Détails de communication du protocole de maintenance :

  • Les requêtes HK vérifient l’état de la passerelle indépendante et mettent à jour la configuration si nécessaire. Ces demandes ne contiennent aucune donnée client. Les configurations n’incluent pas de mots de passe ou d’autres secrets.
  • Les fichiers de configuration contiennent des détails sur la topologie du cluster Tableau Server afin que Independent Gateway puisse exécuter des fonctions de proxy inverse. La configuration de la topologie du cluster peut être considérée comme sensible car la configuration est susceptible de fournir des informations de ciblage à un attaquant. Notez que ces données de configuration ne seraient utiles qu’aux attaquants qui pourraient alors accéder au cluster Tableau Server.
  • Les fichiers de mise à jour de la configuration incluent une vérification du contenu haché. Cela fournit une couche de sécurité supplémentaire pour valider l’intégrité des fichiers de configuration utilisés pour mettre à jour Independent Gateway.

Par défaut, le processus HK utilise TCP 21319.

Depuis Tableau Server 2022.1.2, TLS est pris en charge sur la connexion HK. Consultez Configurer TLS sur la passerelle indépendante.

Modifier le port HK

Vous pouvez modifier le port utilisé par le protocole HK dans le cadre de l’initialisation d’Independent Gateway. Consultez Résultat de l’aide pour le script initialize-tsig.

Si vous avez déjà installé Independent Gateway, vous pouvez modifier le port en mettant à jour la valeur TSIG_HK_PORT dans environment.bash.

Par défaut, environment.bash se trouve à l’emplacement /etc/opt/tableau/tableau_tsig.

Après avoir mis à jour le fichier, vous devez redémarrer tsig-httpd :

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

Emplacement des fichiers journaux

Les entrées de journal les plus utiles sur Tableau Server se trouvent dans le répertoire tabadminagent des fichiers journaux. Cependant, si vous exécutez Tableau Server dans un cluster, vous devez faire une recherche sur chaque instance pour localiser les journaux tabadminagent les plus récents.

Sur Independent Gateway, les fichiers journaux suivants sont écrits sur le répertoire TSIG_DATA/logs/ .

Par défaut, il se trouve à l’emplacement /var/opt/tableau/tableau_tsig/logs :

  • access.log : Independent Gateway écrira sur access.log pour les journaux générés par la configuration httpd.conf.stub. Les fichiers journaux horodatés (par exemple access_date.log) sont générés par la configuration httpd.conf.
  • error.log
  • startup.log

Ces journaux sont également transmis textuellement au déploiement de Tableau Server et stockés dans des sous-répertoires du répertoire des journaux du contrôleur de cluster. Ainsi, les journaux de la passerelle indépendante sont inclus dans le fichier ziplog généré par la commande tsm maintenance ziplogs.

Résolution des problèmes

Pour obtenir des conseils de dépannage, consultez Résolution des problèmes de la passerelle indépendante Tableau Server(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise (EDG). Le guide EDG fournit un exemple de déploiement de Tableau Server sous Linux. Les étapes de dépannage sont utiles pour les versions Windows ou Linux de Tableau Server.

Merci de vos commentaires !Avis correctement envoyé. Merci